【続報】ニチレイ不正アクセス、KFC・くら寿司・井村屋など影響拡大─17日から物流順次再開へ

「個人情報の流出は確認されていません」。ニチレイが最初にそう発表したのは、7月13日のことでした。その2日後、同じ会社が、被害サーバに個人情報が保管されていたとして、漏えいの可能性を国の委員会に報告しています。同じ主語が、同じ事案で、逆のことを告げる。この2日間に、何が起きていたのでしょうか。


株式会社ニチレイ(本社:東京都中央区、代表取締役社長CEO:嶋本和訓)は2026年7月15日、7月13日に公表したシステム障害の第2報を発表した。調査の結果、同社のサーバがサイバー攻撃を受けたことを確認したとし、さらなる被害拡大を防ぐため攻撃の詳細は開示を控えるとした。

被害を受けたサーバの一部に個人情報が保管されていたことが判明し、個人情報保護委員会へ漏えいの可能性がある事案として報告した。漏えいの有無は調査中である。停止していたニチレイロジグループ各社の冷蔵倉庫の入出庫業務と、ニチレイフーズの冷凍食品出荷業務は、外部のセキュリティ専門会社と安全対策を講じたうえで7月17日から順次再開する予定である。

影響は取引先に拡大し、日本ケンタッキー・フライド・チキン、くら寿司、コープデリ生活協同組合連合会、イオン、ヨークベニマル、井村屋グループ、江崎グリコ、テーブルマークなどで欠品や配送遅延が生じた。

くら寿司は7月15日、取引先への不正アクセスの影響で一部店舗で欠品・配送遅延が発生したと公表した。

From: 文献リンク当社グループでのシステム障害発生について(第2報)(株式会社ニチレイ)

From: 文献リンク当社のお取引先様への不正アクセスの影響により一部店舗での商品の欠品・配送遅延に関するお詫びとお知らせ(くら寿司株式会社)

【編集部解説】

第一報で「今後の調査で内容が更新される可能性を前提に読むのが妥当だ」と書きました。その通りになりました。ただし、更新されたのは想定より重い方向へです。

7月15日、ニチレイは第2報を出しました。まず、7月13日時点で「不正アクセスによるシステム障害」としていた事象を、「サーバがサイバー攻撃を受けたことを確認した」と踏み込んでいます。攻撃の詳細は「さらなる被害の拡大を防ぐため」開示を控えるとしており、侵入経路も攻撃者も、依然として公表されていません。

より重いのは、個人情報をめぐる記述の変化です。

第1報では「個人情報や顧客データの社外流出は確認されていない」とされていました。第2報では、被害を受けたサーバの一部に個人情報が保管されていたことが判明し、個人情報保護委員会へ「漏えいの可能性がある事案」として報告したと明かされています。

漏えいがあったと確定したわけではありません。しかし「流出は確認されていない」から「漏えいの可能性がある事案として当局に報告した」への移動は、小さくありません。「確認されていない」は「存在しない」ではない——第一報で触れたこの原則が、同じ企業の、わずか2日後の発表で裏づけられた形です。

ここで、第1報の読み方をひとつ補正しておきます。

第1報のあと、入出庫や出荷が止まった原因を「システムそのものが攻撃で破壊されたから」と受け取った方もいるかもしれません。第2報を読むと、実際はそれだけではないことがわかります。ニチレイは7月13日、顧客・取引先のデータ保護を最優先とし、自らグループのシステムを遮断する措置を取りました。その遮断に伴って、物流と出荷が止まった。

つまり停止の一因は、攻撃そのものに加えて、被害拡大を防ぐための「自主的な遮断」という判断でもあったわけです。守るために止める、という選択が、結果として食卓に影響した。ここに、この種のインシデント対応が抱えるジレンマが表れています。

そして、影響の広がりです。第一報の後、明示的に影響を公表していたのはKFCが先行していました。「同じ構造に置かれた企業が他にもいる可能性は高い」と書きましたが、それは数日で現実になりました。

自社発表や取材への回答、報道での確認を通じて、7月15日中に影響が確認された取引先・関連組織は、その後の更新を含めると少なくとも15社・組織にのぼります。確認時刻や集計の基準によって数は変動しますが、KFC、くら寿司、コープデリ生活協同組合連合会、イオン、ヨークベニマル、フロプレステージュ(フロジャポン)、井村屋グループ、江崎グリコ、テーブルマーク、日本生協連、ひでかつ給食、そしてドン・キホーテを展開するPPIHなど、業種を越えて名前が並びました。影響は今も拡大を続けています

内訳を見ると、影響の質はさまざまです。くら寿司では寿司ネタや冷凍食品の未着が生じました。テーブルマークは一部エリアで家庭用・業務用の冷凍食品の全商品について、7月14日から17日までの出荷停止を決めています。

アイス・冷凍菓子メーカーへの影響も広がりました。

井村屋は「あずきバー」や中華まんなど一部の冷凍商品について、7月15日以降の一部納品が止まりました。冷凍商品の一部をニチレイの倉庫に保管し、店舗への納品を委託していたためです。同社は他の物流業者への切り替えを進め、18日以降の納品再開を見込むと報じられています。

また、江崎グリコでも一部のアイス・冷凍商品が出荷できない影響が報じられ、代替輸送への切り替えが進められています。

影響は小売や外食にとどまりません。仙台市では15日から市内の小学校など少なくとも4校の給食で一部商品の納入が難しくなり、プリンをゼリーに変更するなどの対応が取られました。子どもの食卓にまで届いたことになります。

ただし、すべてを今回の攻撃に結びつけるのは慎重であるべきです。

イオンは店頭の冷凍食品の欠品についてはニチレイ起因と説明する一方、ネットスーパーでのアイスや総菜などの欠品は「影響かどうか調査中」としています。PPIHも「原因は調査中」「在庫があり現時点で大きな影響はないとみている」とコメントし、断定を避けています。「ニチレイの障害で欠品」と一括りにできない部分が残っている——この線引きは、記事の正確性のために外せません。

外食、回転寿司、スーパー、生協、アイスメーカー、冷凍食品メーカー、給食。ジャンルを越えてこれだけの企業名が並ぶこと自体が、1社の低温物流基盤がどれだけ広く社会に組み込まれていたかを、逆説的に示しています。

私がもうひとつ着目したのは、目に見えにくいところで起きた動きです。

日本経済新聞によれば、冷凍・冷蔵倉庫を運営する霞ヶ関キャピタルには、荷主や物流会社から代替の保管先を求める相談が相次いだといいます。同社は「冷凍冷蔵物流を止めないよう、可能な範囲で一時的な受け入れなど柔軟に対応する」とコメントしています。

冷凍された商品は、温度帯を保ち続けなければなりません。既存の冷凍庫に余力があれば留め置けますが、それが尽きれば、行き場を探すことになります。第一報で「効率を追ってきたぶん、緩衝が薄くなった」と書きましたが、緩衝の薄さは、こうして企業が急いで「他人の冷凍庫」を探す姿として現れました。井村屋や江崎グリコが他業者への切り替えを急いだのも、同じ構図の中にあります。

ここで、見落とされがちな事実に触れておきます。

日経クロステックの報道によれば、ニチレイはシステムを国内の東西2拠点に分けて構築し、災害時の事業継続に備えていました。それでも、不正アクセスによる影響は避けられなかったといいます。

地震や水害を想定した「拠点の二重化」は、サイバー攻撃の前では必ずしも盾になりません。一般に、地理的に二重化されていても、認証基盤や管理ネットワークなどを共有していれば、攻撃が双方の業務に影響する可能性があります。ただし、今回どのような構成や経路で東西の拠点が影響を受けたのかは公表されていません。ここは仮説として述べています。それでも、物理的な災害への備えと、サイバー攻撃への備えは、設計の考え方そのものが異なる——この事案は、その問いを投げかけています。

前向きな材料もあります。ニチレイは17日から業務を順次再開する予定を示しました。

第一報で参照したアスクルの事案では、システムを使った出荷の本格再開までおおむね2カ月を要しました。今回、発生から4日での順次再開見込みは、それと比べれば早い部類に入ります。もっとも、「順次再開」は「完全復旧」ではありません。7月16日時点でも完全復旧のめどは立っていないと報じられており、各社の店頭や配送がいつ平常化するかは、まだ見えていません。攻撃の全容解明と、個人情報の漏えい調査も、これからです。

最後に、この事案の位置づけを一段引いて考えてみます。

2025年のアスクル、アサヒグループホールディングス、そして今回のニチレイ。食品と物流という、生活の土台を担う企業が、立て続けにサイバー攻撃で止まっています。もし狙われているのが「情報」ではなく「供給を止める能力」だとすれば——これは私の推測にすぎませんが——情報漏えい対策とは別の備えが要ることになります。

守るべきものは、自社のデータだけではない。取引先が止まったときに自社が受ける影響、そして自社が止まったときに取引先へ与える影響。その両方向を織り込んだ事業継続の設計が、いよいよ現実の課題として突きつけられている——そう受け止めています。

【関連記事】

ニチレイ不正アクセスでKFC全店に影響──冷凍物流システム障害が示すサプライチェーンの急所(内部)
本件の第一報。7月13日の障害発生とKFCへの波及を、低温物流の構造から解説。今回の続報はこの記事の続きにあたる。

UNFIサイバー攻撃でホールフーズ全米品切れ─食品サプライチェーンの脆弱性が露呈(内部)
食品卸1社の障害が小売店頭の品切れに直結した米国の事例。ニチレイ→取引先の連鎖と構造がそのまま重なる対比記事。

アスクルがランサムウェア感染で受注・出荷停止、止まらないサイバー攻撃(内部)
物流障害が良品計画・ロフトのネット通販を止めた国内前例。本文で触れた「復旧に約2カ月」の当該事案そのもの。

【編集部後記】

企業のお詫び文には、暗黙のルールのようなものがあります。最初は控えめに、事実が固まるにつれて重い内容へ。今回のニチレイも、2日で「流出は確認されていない」から「漏えいの可能性を当局に報告」へと進みました。この順番は不誠実だからではなく、調査に時間がかかるという構造から来ています。

ただ、受け取る側からすると、最初の一報だけを読んで安心し、その後の更新を見逃してしまうことは起こりえます。第一報で「大丈夫そうだ」と感じた記憶は、なかなか上書きされません。

あなたが最近見た企業のお詫びやお知らせで、その後の続報まで確かめたものは、どれくらいあったでしょうか。


【用語解説】

サイバー攻撃
コンピューターやネットワークに対し、外部から不正な手段でデータの窃取・破壊・改ざんや業務停止を狙う行為の総称である。不正アクセスもその一手段であり、今回ニチレイは調査の結果、サーバがサイバー攻撃を受けたことを確認したと公表した。

個人情報保護委員会
個人情報の適正な取り扱いを監督する国の行政機関である。漏えい等が発生し、または発生したおそれがある場合、要配慮個人情報を含むときや不正の目的による可能性があるときなど一定の類型で、事業者は同委員会への報告を求められる。ニチレイは「漏えいの可能性がある事案」として報告した。

遮断措置
攻撃の被害拡大や情報の外部流出を防ぐため、感染や侵入の疑いがあるシステムをネットワークから切り離す対応を指す。今回は、この措置に伴って冷蔵倉庫の入出庫業務や冷凍食品の出荷業務が停止した。

低温物流(コールドチェーン)
生産から消費まで、一定の低温を保ったまま食品を輸送・保管する仕組みを指す。専用の冷蔵・冷凍設備が必要なため、障害時に代替拠点を短期間で確保することが難しい場合がある。

事業継続(BCP)
災害や攻撃などで業務が中断した際に、重要な事業を継続または早期復旧するための計画・備えを指す。今回、ニチレイは災害に備えてシステムを東西2拠点に分けていたと報じられたが、サイバー攻撃による影響は避けられなかった。

デジタルフォレンジック
端末やネットワークに残された記録を解析し、侵入経路や被害範囲を特定する調査手法である。全容解明には相応の時間を要するため、初期発表の内容が調査の進行に伴って更新されることがある。

【参考リンク】

株式会社ニチレイ 公式サイト(外部)
冷凍食品事業と低温物流事業を柱とする食品グループの持株会社。今回の障害に関する第1報・第2報もニュース欄に掲載されている。

ニチレイロジグループ 公式サイト(外部)
ニチレイの低温物流事業を担うグループ。冷蔵倉庫の保管・入出庫と輸配送を手掛け、他社荷主の貨物も広く受託する国内最大級の事業者。

くら寿司株式会社 公式サイト(外部)
回転寿司チェーンを全国展開する企業。取引先への不正アクセスの影響で、一部店舗で欠品・配送遅延が生じたことを公表した。

井村屋グループ 公式サイト(外部)
「あずきバー」などで知られる菓子・食品メーカー。冷凍商品の一部をニチレイ倉庫に保管・納品委託しており、配送への影響が生じた。

個人情報保護委員会 公式サイト(外部)
個人情報の取り扱いを監督する国の行政機関。漏えい等の報告制度や案内を掲載している。ニチレイが漏えいの可能性を報告した先である。

【参考記事】

当社グループでのシステム障害発生について(第2報)(株式会社ニチレイ)(外部)
本続報の中核となる一次情報。サイバー攻撃の確認、個人情報保護委員会への報告、遮断措置、17日からの順次再開予定を明らかにしている。

サイバー攻撃によるニチレイグループのシステム障害についてまとめてみた(piyolog)(外部)
影響を受けた組織を根拠つきで一覧化した整理記事。イオンやPPIHの「調査中」、くら寿司公式にニチレイ名がない点まで区別している。

ニチレイ、システム障害はサイバー攻撃によるものと公表 17日から順次再開へ(ITmedia NEWS)(外部)
第2報の内容を、緊急対策本部の設置や個人情報保護委員会への報告を含めて整理。攻撃の詳細が非開示とされた点を明確に伝える。

ニチレイ システム障害“完全復旧のメド立たず” KFCなど外食産業にも影響(TBS NEWS DIG)(外部)
7月16日時点でも完全復旧のめどが立っていないことを報道。17日の順次再開が「完全復旧」ではないという区別の根拠となる。

ニチレイ不正アクセス、外食・通販・給食で配送遅れ 取引先は5000社(日本経済新聞)(外部)
影響が外食・通販・給食へ広がった状況を報道。霞ヶ関キャピタルに代替保管先の相談が相次いだことも伝えている。

ニチレイ不正アクセス「東西両センターで障害」、井村屋は15日分納品を中止(日経クロステック)(外部)
ニチレイが災害に備えシステムを東西2拠点に構築していたが影響を避けられなかったと報道。災害BCPとサイバー対策の違いを示す。

ニチレイのシステム障害が拡大 井村屋など納品停止 学校給食にも影響(FNNプライムオンライン)(外部)
井村屋の納品停止、仙台市の小学校など少なくとも4校の給食での代替対応など、影響が生活の各所に及んだ状況を伝える。

Googleで優先するソースとして追加するボタン
投稿者アバター
山本 達也
『デジタルの窓口』代表。名前の通り、テクノロジーに関するあらゆる相談の”最初の窓口”になることが私の役割です。未来技術がもたらす「期待」と、情報セキュリティという「不安」の両方に寄り添い、誰もが安心して新しい一歩を踏み出せるような道しるべを発信します。 ブロックチェーンやスペーステクノロジーといったワクワクする未来の話から、サイバー攻撃から身を守る実践的な知識まで、幅広くカバー。ハイブリッド異業種交流会『クロストーク』のファウンダーとしての顔も持つ。未来を語り合う場を創っていきたいです。